Ransomware

 

 

1. 개요


서버에 설치된 MS-SQL의 xp_cmdshell 프로시저 취약점을 이용해 서버 권한을 탈취하고 랜섬웨어를 감염 시킨 건

 

 

2. 대상


서버 IP 운영체제 DBMS
ooo 59.xxx.xxx.xxx Windows Server 2008 R2 SQL Server 2008 R2
oooooo 210.xxx.xxx.xxx Windows Server 2008 R2 SQL Server 2008 R2

 

 

3. 공격기법 및 특징


1) 패킷 조사

공격자는 xp_cmdshell 프로시저를 이용해 test1.ps 라는 다운로더 코드를 서버에 내려받고 실행함

 

ooo서버 패킷 내용
oooooo서버 패킷

 

아래는 test1.ps 의 내용

파워쉘 악성코드 다운로드 구문

 

 

 

2) APT 장비에 탐지된 악성코드(랜섬웨어) 다운로드 로그

 

January 30th 2021,22:36:50.395      RU 91.241.19.107 80 59.xxx.xxx.xxx   52,240   HTTP Executable file download from root directory - HTTP (Response)     http://91.241.19.107/CnGarR8AaPNLQ6S.exe

 

January 30th 2021,22:40:20.394      RU 91.241.19.107 80 210.xxx.xxx.xxx          57,190   HTTP Executable file download from root directory - HTTP (Response)     http://91.241.19.107/TWsTWqgRFnR4jbk.exe

 

 

3) 침해사고 상세

침해사고 상세

① 침해 서버는 MS-SQL을 사용하며 포트가 외부에 오픈되어 있는 상태

② MS-SQL은 혼합인증이 활성화된 상태(Windows 인증, ID/PASSWD 로 로그인) 

③ MS-SQL의 SA 계정이 활성화된 상태

④ 공격자는 SA계정을 BruteForce하여 권한을 획득 한 후에 xp_cmdshell 프로시저 활성화 후 test1.ps 악성코드를 다운로드

⑤ test1.ps에는 랜섬웨어를 다운로드/실행 하는 명령이 있어 대상 서버에 랜섬웨어를 설치

 

 

4. IOC

구분 IP 위치
악성코드 유포 서버 91.241.19.107 러시아
반응형
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기